新紀元周刊|和您攜手,共同走進新的紀元

美國獵捕中共駭客 再下一城

?"
美國官方已經確認,中共的駭客團隊對美國公司進行網路攻擊,《紐約時報》最近也曝光了這群駭客,即人民解放軍61486部隊。圖為2013年媒體曝光的位於上海的駭客團隊所在的辦公大樓。(Getty Images)

美國政府起訴中共5名駭客後,中共雖顏面盡失,但仍矢口否認。美國私人網路安全公司CrowdStrike決定讓證據說話,將追蹤破獲中共另一支網軍61486部隊的事實公諸媒體。

編譯 _ 李清怡

今年5月,美國司法部史無前例地對中共61398部隊5名駭客軍官進行指控,中共政府一貫矢口否認,並斥為「無稽之談」。於是,美國網路安全公司「CrowdStrike」決定將長期追蹤1名中國駭客而破獲另一支中共網軍的事實公開。

「閒晃熊貓」陳平露餡

《時代》雜誌報導,該公司蒐集的資料中,有很多陳平(Chen Ping)的照片,例如在生日派對上大吃糕點、站在牆邊淺笑等。此外,還有許多陳平自拍的相片。

CrowdStrike研究人員稱,按理說,在全球網路戰中,陳平原本是一名不該露臉的軍人,但是35歲的陳平卻留下了線索和相片,使得研究人員能夠追蹤到中國人民解放軍的總部。CrowdStrike調查人員戲稱陳平為「閒晃熊貓」(Putter Panda)。

陳平的駭客團隊就是人民解放軍61486部隊。在接受《時代》採訪時,美國官方已經確認,中共的這支部隊對美國公司進行網路攻擊,《紐約時報》最近也曝光了這群駭客。設在維吉尼亞州阿靈頓的非政府智庫2049計畫團隊(Project 2049)在其2011年報告中稱,61486部隊專門攔截衛星通信,並獲取衛星圖像研究成果,但是直到CrowdStrike研究人員追蹤到陳平,全世界才開始注意到中共這支聲名狼藉的網路攻擊部隊。

美國公司受駭損失年逾300億

戰略與國際研究中心(Center for Strategic and International Studies)稱,網路間諜活動使得美國公司每年僅知識產權損失就達300億美元,這還不包括清理與恢復信息的成本。聯邦調查局向3000家美國公司發出了通知,告知他們在2013年曾經被駭客攻擊。

網路安全專家表示,中國網軍大面積破壞外國企業,竊取有價值的知識產權,以及敏感的招標信息,從而使得中國公司在談判中佔據優勢。戰略與國際研究中心主任路易斯(Jim Lewis)說,中共解放軍在侵入美國廠商和公司後,將信息傳遞給中國國有企業,通常都要收費。中國駭客是一個非常活躍的行業,不僅限於盜取外商機密,還涉及中國公司之間的相互競爭。「人民解放軍不僅會竊取F-35戰鬥機的信息,還會盜取油漆配方或肥皂配方。」

CrowdStrike公司情報中心主任梅爾斯(Adam Meyers)說,早在2007年,61486部隊就開始利用微軟與Adobe的弱點,入侵衛星與通信公司,「非常多的公司和數據被駭。」

網路安全業市場快速成長

CrowdStrike是一家發展迅速的新興公司,旗下包括FireEye、Sourcefire、OpenDNS等公司,是挑戰網路安全業高達670億美元市場的佼佼者。

CrowdStrike公司由20名研究人員組成,他們找到了陳平在上海的辦公地址,然後,對他和他的同事進行監視。CrowdStrike和其他類似的公司自詡是「保護美國知識產權的最前沿」。

加得納市場研究公司(Gartner)指出, 網路安全科技業市場預期到2016年會成長至860億美元,因為對美國公司而言,因應網路駭客已經成為企業必須支付的成本。

追蹤陳平

CrowdStrike公司梅爾斯的團隊收集了大量關於61486部隊嫌疑人陳平的信息。他們首先注意到一些遠程網域被用於在染上病毒的電腦上發送和控制惡意軟件,而網域必須經過註冊。梅爾斯的團隊發現,很多這些遠程網域註冊在同一個電郵地址的名下,其中一個至少註冊了六個網域,另外一個電郵地址名下也註冊了好幾個網域。

他們發現一個名叫cpyy的人,他使用了兩個主要郵件地址,並註冊了大量遠程域網,控制惡意軟件。CrowdStrike公司的團隊撒大網尋找這個化名為cpyy的人,後來追蹤到一個註冊名為陳的個人博客。陳的博客檔案,都是中文,他稱自己出生於1979年5月25日,工作單位是「軍隊/警察」,另一個cpyy博客也列出了同樣的出生日期,並寫著住在上海。梅爾斯團隊非常確信這兩個博客用戶是同一個陳,因為操作看上去很雷同,但是,需要更多的證據證明陳與人民解放軍的關係。

在對陳的網上檔案進行詳查之後,梅爾斯的團隊找到了陳發到網上的照片。CrowdStrike說,陳使用尼康相機拍攝照片,他在谷歌上還有一個相冊,裡面有些照片與博客上的一樣。據梅爾斯稱,那些照片顯示,陳不是單獨行動的駭客:其中一張照片,背景擺了很多軍人的帽子;一張照片內,有碟狀衛星信號接收器,這顯示陳與軍隊信號情報有關聯。

據CrowdStrike情報報告稱,他們對陳平辦公室的照片進行調查追蹤,並與上海一棟軍事大樓的衛星圖片進行比對。

梅爾斯說,陳平粗心大意,在註冊其中一個控制惡意軟件的網域時,所輸入的住址,正是照片中碟狀衛星信號接收器附近的一棟大樓。仔細分析衛星圖片,發現陳平照片中的大樓都跟同一個地址有聯繫。CrowdStrike團隊發現了一個中方網站,所列地址正是陳平所屬的61486部隊的大樓地址。

毀跡滅蹤

今年5月,美國司法部指控5名駭客嫌疑人竊取美國公司的貿易機密,在起訴書中,司法部列出了這幾名駭客的名字,並將他們的照片也發布出來。一些觀察人士認為,司法部這麼做的主要目的並不是要將他們從中國引渡美國,而是要向中共軍方傳達一個清晰的信息:我們知道如何找到你們。專家們稱,今後,中方在進行網路攻擊時,會更加小心,盡量不留下任何蛛絲馬跡。

CrowdStrike稱,早在2011年,陳平就已經被從上海轉移到雲南昆明市。據2049計畫研究所稱,陳平所在部隊的12局在昆明有一個設施。梅爾斯團隊公布了那份報告後,在尋找61486部隊過程中使用的所有數據都從網路上被清除,陳平也好像失蹤了。梅爾斯說:「報告出來後,他們迅速清理了所有網上信息,真是夠快的。第二天,陳平的所有網站也不見了」。◇
 

您也許會喜歡